入侵检测实战之全面问答

问：IDS如何与网络中的其他安全措施相配合？

1、建立不断完善的安全策略。这一点异常重要！谁负责干什么？发生了入侵事件后怎么干？有了这些，就有了正确行动的指南。
2、根据不同的安全要求，合理放置防火墙。例如，放在内部网和外部网之间、放在服务器和客户端之间、放在公司网络和合作伙伴网络之间。
3、使用网络漏洞扫描器检查防火墙的漏洞。
4、使用主机策略扫描器确保服务器等关键设备的最大安全性，比如看看它们是否已经打了最新补丁。
5、使用NIDS系统和其他数据包嗅探软件查看网络上是否有“黑”流涌动。
6、使用基于主机的IDS系统和病毒扫描软件对成功的入侵行为作标记。
7、使用网络管理平台为可疑活动设置报警。最起码的，所有的SNMP设备都应该能够发送“验证失败”的trap信息，然后由管理控制台向管理员报警。

问：如何检测网络上有人在使用NIDS系统？

NIDS系统实际上就是一个嗅探器（sniffer），因此，任何标准的嗅探器检测工具都可用于发现它的存在。这些工具有：

1、AntiSnifhttp://www.l0pht.com/antisniff/）
2、nepehttp://www.securiteam.com/tools/Neped_-_Detect_sniffers_on_your_local_network.html）
3、Sentinehttp://www.packetfactory.net/Projects/sentinel/）
4、ifstatusftp://andrew.triumf.ca/pub/security/ifstatus2.0.tar.gz） 

问：如何提高WinNT/Win2K系统的入侵保护程度？

关于这个问题已经有许多诸葛亮出过谋划过策，在此我将选择重点并按考虑顺序列举如下：

1、访http://www.microsoft.com/security/ 下载并安装最新的SP和hotfix。

2、安装时文件系统选择NTFS格式，并且每个磁盘都使用NTFS（不要启动盘是FAT，其他盘是NTFS）。NTFS不仅仅可以实现对单个文件和单个目录的权限设置，还可以对它们进行审计。

3、创建一个新的管理员帐号，将administrator的功能限制到最小以设置陷阱，观察是否有人试图盗用其权限；禁止guest帐号或者将guest帐号改名并创建一个新的guest帐号，目的同样是监测是否有人试图使用它入侵系统。

4、去掉对%systemroot%/system32目录的默认权限：Everyone/写。

5、启动REGEDT32程序打开“HKEY_LOCAL_MACHINE\Security”项，以检测远程注册表浏览行为。

6、安装系统时默认目录不要选择“c:\winnt”，让入侵者费些心思猜测系统文件的位置。还有一个更好的方法是：首先安装在c:\winnt目录下，然后重新安装系统到其他目录，并且对c:\winnt目录添加审计功能，这样就可以监测是否有人想访问c:\winnt目录了。正所谓真真假假、假假真真，你在不断窥视、我设陷阱无数。

7、启动分区只存放系统文件，数据和应用程序放到其他分区，甚至将数据和应用程序也分区存放。总之，隔离是避免“火烧联营”的最好方法。

8、屏幕保护使用“Blank Screen”且设置密码保护，这样既达到安全目的也节省服务器处理资源。注意，如果使用来历不明的屏幕保护方案，要小心它可能就是一个后门程序。

9、启动REGEDT32程序，修改AutoSharexxx参数关闭系统默认的自动共享目录，例如ADMIN$、C$、D$等等。对于WinNT，这个参数的位置是：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
\LanmanServer\Parameters\AutoShareServer

对于WinNT Workstation，位置是：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
\LanmanServer\Parameters\AutoShareWks

10、禁止匿名访问帐号，方法是设置下列项目的值为1：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous

11、对于域控制器，将“从网络访问计算机”的权限分配给授权用户而不是默认Everyone，这样就禁止了使用机器的本地帐号进行远程访问的可能，只允许通过域帐号进行访问。

12、为管理员帐号设置远程访问的帐号锁定策略，使入侵者猜测其口令失败限定次数后自动被锁。当然，我们还是可以在本地使用管理员帐号进入系统的。为了更加安全，也可以完全禁止远程使用管理员帐号，方法是将管理员帐号从“从网络访问计算机”的权限中去除掉。

问：如何提高Win9X系统的入侵保护程度？

保护措施象攻击手段一样多，在此列出我认为最重要的也是最基本的3条：

1、安装最新的补丁程序。
2、关闭打印机共享PRINTER$。打印机共享后，远程用户就可以访问到被共享机器的system32目录下的打印机驱动程序。但是由于系统bug的存在，其他系统文件就有了被窃取的可能，例如密码文件。
3、关闭文件共享。如果是家庭用户，通常根本不需要共享文件。如果非共享不可，必须添加上共享口令并且只在需要共享的时刻共享，贡献完自己的东东后立即关闭。